ニュース&トピックス

SWARCO TRAFFIC SYSTEMS 製 SWARCO CPU LS4000 に不適切なアクセス制御に関する脆弱性

ニュース

【概要】
SWARCO CPU LS4000 は、信号機のコントローラに組み込まれているチップソフトウェアです。SWARCO CPU LS4000 には、デバッグに使用するポートが存在し、認証なしでネットワーク経由の接続が可能です。その結果、機器へルート権限で接続可能な不適切なアクセス制御の脆弱性 (CWE-284) が存在します。
【CVSS による深刻度 (CVSS とは?)】

  CVSS v3 による深刻度
  基本値: 10.0 (緊急) [NVD値]

   ・攻撃元区分: ネットワーク
   ・攻撃条件の複雑さ: 低
   ・攻撃に必要な特権レベル: 不要
   ・利用者の関与: 不要
   ・影響の想定範囲: 変更あり
   ・機密性への影響(C): 高
   ・完全性への影響(I): 高
   ・可用性への影響(A): 高

  CVSS v2 による深刻度
  基本値: 10.0 (危険) [NVD値]

   ・攻撃元区分: ネットワーク
   ・攻撃条件の複雑さ: 低
   ・攻撃前の認証要否: 不要
   ・機密性への影響(C): 全面的
   ・完全性への影響(I): 全面的
   ・可用性への影響(A): 全面的

【影響を受けるシステム】
SWARCO TRAFFIC SYSTEMS
 ・CPU LS4000 G4 以降のすべての OS バージョン

【想定される影響】
遠隔の第三者によって、コントローラに接続している機器の操作が行われる可能性があります。
【対策】
[パッチを適用する]
開発者が提供する情報をもとに、パッチを適用してください。
【ベンダ情報】
SWARCO TRAFFIC SYSTEMS
  ・SWARCO TRAFFIC SYSTEMS : SWARCO: Critical Vulnerability in CPU LS4000
  ・SWARCO TRAFFIC SYSTEMS : Traffic Light Controllers

【CWEによる脆弱性タイプ一覧 】 CWEとは?
  1. 不適切な権限管理(CWE-269) [NVD評価]

共通脆弱性識別子(CVE) 】 CVEとは?
  1. CVE-2020-12493

出典:JVN iPdeia

一覧に戻る